Une <iframe> intègre un autre document HTML dans votre page (une carte, une vidéo, un widget de paiement, ou du contenu utilisateur non fiable). Comme la page intégrée peut exécuter ses propres scripts, l'attribut sandbox est essentiel pour l'intégrer de manière sécurisée.
sandbox sans valeur applique des restrictions maximales : pas de scripts, pas de formulaires, pas de popups, traite le contenu comme une origine unique. Vous réactivez ensuite sélectivement les capacités en listant des tokens :
<iframe sandbox></iframe> <!-- locked down: scripts disabled, etc. -->
<iframe sandbox="allow-scripts allow-forms allow-popups"></iframe>
Tokens courants :
allow-scripts — lui permettre d'exécuter JavaScript.allow-forms — lui permettre de soumettre des formulaires.allow-same-origin — conserver son origine (sans cela c'est une origine null, bloquant le stockage/cookies).allow-popups, allow-modals, allow-top-navigation.Note de sécurité : combiner allow-scripts et allow-same-origin permet à la frame de retirer son propre sandbox si elle est same-origin — évitez cette combinaison pour du contenu non fiable.
<iframe
referrerpolicy="no-referrer"
allow="camera 'none'; geolocation 'none'"
></iframe>
Les iframes intègrent du contenu tiers ou généré par l'utilisateur que vous ne contrôlez pas et en lequel vous ne devriez pas faire entièrement confiance. sandbox (refus par défaut, autorisation seulement ce qui est nécessaire) plus referrerpolicy/allow vous permet de contenir ce contenu — en l'empêchant d'exécuter des scripts indésirables, de naviguer dans votre page, ou d'accéder aux fonctionnalités de l'appareil.
Ajoutez title pour l'accessibilité et loading="lazy" pour les performances.